153 views 11 mins

LGPD: antecipar e provocar ataques controlados evita multas milionárias

em Destaques
segunda-feira, 14 de dezembro de 2020

Caio Telles (*)

Depois de inúmeras discussões e algumas modificações, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, colocando o Brasil ao lado de mais de 100 países que possuem diretrizes específicas para o tratamento de informações pessoais. As penalidades serão aplicadas em 2021, entretanto, as empresas precisam estar preparadas para as adaptações em seus negócios. A LGDP se aplica a dados que sejam tratados no Brasil e também a qualquer informação pessoal que tenha sido coletada no país, independentemente de onde será tratada, assim como da nacionalidade ou localização da empresa.

Diante deste cenário, as organizações públicas e privadas que coletam, guardam, processam e comercializam os dados pessoais de milhões de brasileiros vão passar por mudanças. Além disso, a lei também proíbe o uso dos dados pessoais para a prática de discriminação ilícita ou abusiva, que engloba o cruzamento de informações de uma pessoa ou de um grupo para financiar decisões comerciais, como perfil de consumo para divulgação de ofertas, políticas públicas ou atuação de órgão público.

Agora, ao coletar dados, as empresas devem informar a finalidade, indicar um responsável pelo uso das informações e adotar medidas para garantir a segurança do material. As empresas que não seguirem as diretrizes da LGPD, portanto, estarão mais suscetíveis a incidentes de segurança relacionados a dados pessoais, e isso poderá acarretar punição para infrações, de advertência a multa diária de até R$ 50 milhões, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de informações.

Com isso, uma empresa que não implementa os controles necessários para garantir a segurança do ambiente tecnológico, e também os domínios relacionados aos dados pessoais processados, fica atrás na corrida pela privacidade e segurança. Agora, com a vigência da lei, as organizações voltaram sua atenção para privacidade e segurança e se viram forçadas a acelerar a adaptação dos negócios. Há aquelas que já estão ajustadas ou bem próximas disso, algumas com o diagnóstico pronto, mas sem um programa implementado, e outras que ainda estão tentando compreender a lei e seu impacto.

Um fator preocupante é que o Brasil, terceiro país que mais sofre tentativas de ataques virtuais no mundo, foi alvo, de janeiro a junho, de mais de 2,6 bilhões de tentativas de ataques cibernéticos – de um total de 15 bilhões em toda a América Latina e Caribe. A informação é de um relatório divulgado pela Fortinet. No último trimestre, foi registrado um aumento de ataques de ‘força bruta’ na região, que representam tentativas de adivinhar uma credencial por meio do envio de diferentes nomes de usuário e senhas para acessar um sistema.

Durante a quarentena, de acordo com dados do setor, as vulnerabilidades mais encontradas em organizações têm sido aquelas falhas que expõem dados sensíveis de usuários, como PII (Personally Identifiable Information). Esse tipo de vulnerabilidade, muitas vezes, não é explorada por meio de uma falha técnica, mas sim de uma falha de processo, e isso é alarmante. Esses ataques a sistemas corporativos são responsáveis pela maioria das crises de imagem e confiança em negócios que armazenam e utilizam dados de clientes.

Uma falha de segurança pode gerar prejuízos gigantescos a empresas por meio do roubo de informações e dinheiro, paralisação de seu serviços e diversos outros danos. Toda a transformação que vem ocorrendo nas empresas, portanto, com novas tecnologias e regime home office, tem aumentado o número de vulnerabilidades, bem como de ataques. Outro fator preocupante é a prática de extorsão que os cibercriminosos podem cometer, caso identifiquem alguma fragilidade que possibilita o acesso a informações pessoais que estão sob a custódia de uma empresa.

A organização poderá sofrer tentativas de usurpação, já que o hacker sabe que um incidente pode custar multas milionárias, transformando-a em refém. Há um caminho a ser percorrido, que poderá ser mais longo ou complexo. As empresas devem tratar a adequação à LGPD como um projeto corporativo – deve ser aplicado de forma completa em todas as áreas. Por ser um assunto multidisciplinar, é preciso criar um Comitê ou Grupo de Trabalho, com representantes de todos os setores.

Este grupo deve coordenar as ações a serem implementadas, sendo liderado pelas áreas de Segurança da Informação, Jurídico e Compliance. Também deve-se atribuir o papel de encarregado de proteção de dados a um colaborador – funcionário ou terceiro, pessoa física ou jurídica -, que deve acompanhar o projeto e centralizar todas as necessidades da atualização. Mais do que nunca, é preciso garantir a completa visibilidade dos dados e a conformidade das soluções de segurança de uma empresa com as diretrizes da LGDP.

Proativamente, as organizações devem reavaliar a real necessidade de utilização de informações pessoais em seus processos, além de implementar o privacy by design, que garante que todos os novos projetos sejam concebidos já levando a privacidade em consideração. Com mudanças recorrentes no setor de segurança e novas vulnerabilidades todos os dias, os programas de recompensa têm se popularizado. Eles ajudam na identificação de fragilidades tecnológicas e de processos, que, muitas vezes, se exploradas, podem permitir acesso às bases de dados das empresas que contêm informações pessoais de clientes e/ou funcionários.

Esse modelo reúne especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A iniciativa recompensa e/ou remunera pesquisadores que comunicam falhas de segurança e permite que as empresas tenham seus sistemas testados de forma contínua, garantindo um tempo menor entre a descoberta da vulnerabilidade, a identificação no sistema e a correção do bug.

A utilização de programas desse tipo é considerada uma boa prática e tem sido cada vez mais adotada por governos e grandes empresas, como Google e Facebook. Neles, as empresas interessadas podem abrir programas em diversas modalidades, que levam em consideração o tipo de serviço, o escopo do trabalho, a recompensa a ser oferecida, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços.

Os especialistas, então, realizam testes e buscam falhas em produtos e serviços, como sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. Em média, as companhias levam 196 dias para perceber que foram atacadas. Com programas de recompensa, os pesquisadores identificam falhas e enviam relatórios às instituições em poucos minutos. O foco da atividade é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impacta na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem.

Com a vigência da LGPD e de uma legislação específica que obriga as empresas a seguirem procedimentos e implementarem controles para garantir a privacidade das informações pessoais – sejam de colaboradores ou clientes -, a privacidade recebe a atenção que merece. Os programas de recompensa, neste momento, estão com alta demanda no mercado, e têm se tornado cada vez mais necessários para as organizações.

Participar de plataformas desse tipo é algo que gera valor para as instituições e para o setor de segurança da informação. Não podemos impedir violações de dados, reduzir crimes cibernéticos e proteger a privacidade sem unir as organizações aos especialistas. É preciso promover o acesso à segurança e fomentar o bom relacionamento entre empresas e pesquisadores a fim de evitar milhões em prejuízos e multas.

(*) – É CEO da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas (www.bughunt.com.br).